Sécuriser l'environnement d'administration du cloud

Amazon Identity and Access Management (IAM) permet de gérer des groupes d'utilisateurs dotés de différents niveaux d'autorisations sur votre compte AWS. Avant de vous connecter à ArcGIS Server Cloud Builder on Amazon Web Services, vous devez utiliser IAM pour créer au moins un utilisateur autorisé à accéder à votre compte. Vous devez ensuite télécharger la clé d'accès et la clé d'accès secrète associées à cet utilisateur. Lors de la première connexion à Cloud Builder vous devez choisir d'enregistrer ces clés ou de les saisir à chaque connexion. Vous pouvez également utiliser un rôle IAM pour configurer un site ArcGIS Server hautement disponible.

La console de gestion AWS assure l'administration avancée d'ArcGIS Enterprise on Amazon Web Services. Vous devez vous connecter à la console avec votre nom de compte et votre mot de passe Amazon avant de lancer ou de résilier des instances EC2, de configurer des équilibreurs de charges élastiques et des adresses IP élastiques Amazon, et d'effectuer d'autres opérations administratives de l'environnement virtuel. La connexion vous permet également de consulter les informations de facturation et l'activité de votre compte.

Ne partagez votre nom de compte, mot de passe, clés d'accès et clés d'accès secrètes Amazon qu'avec un petit nombre de personnes dans votre organisation, capables de lancer, mettre à jour et résilier les ressources correctement avec Cloud Builder ou la console de gestion AWS. Autoriser un large accès à un personnel non formé rend votre déploiement vulnérable aux interruptions système graves et surcharge votre compte. Ces types de problèmes peuvent finalement entraîner plus de dommages qu'une attaque menée par un pirate informatique externe.

Amazon offre une couche de protection supplémentaire pour la console de gestion AWS, qui va au-delà du nom et du mot de passe du compte. Pour cette option, AWS Multi-Factor Authentication, vous devez générer un code à six chiffres à l'aide d'un petit périphérique matériel en votre possession. Le code change fréquemment, de sorte que si un utilisateur malveillant réussissait à obtenir votre nom de compte et votre mot de passe, il ne parviendrait pas à se connecter à la console de gestion AWS.

Sécuriser l'administration d'une instance

La connexion à Cloud Builder ou à la console de gestion AWS n'est qu'un aspect de l'administration d'ArcGIS sur Amazon EC2. La connexion à vos instances EC2 pour autoriser ou mettre à jour le logiciel, pour exécuter des outils installés avec ArcGIS Enterprise, constitue une autre partie de la configuration de votre déploiement sur le cloud.

Vous vous connectez initialement à une instance Windows EC2 en tant qu'administrateur de l'ordinateur, à l'aide d'un mot de passe généré de manière aléatoire que vous récupérez avec votre fichier de paire de clés. Conservez votre fichier de paire de clés dans un emplacement sécurisé. Ensuite, lors de votre première connexion à l'instance, vous devez modifier le mot de passe en un mot de passe facilement mémorisable. Il n'est pas sûr d'écrire le mot de passe ou de le stocker en texte clair quelque part sur votre machine locale.

Une fois connecté à votre instance, vous pouvez utiliser les outils Windows pour définir les utilisateurs non administratifs pouvant se connecter.

Sécuriser des instances par rapport aux attaques extérieures

Toutes les instances EC2 utilisent un pare-feu pour se protéger de tout accès extérieur inconnu ou inapproprié. Vous configurez le pare-feu en créant des groupes de sécurité et en ouvrant l'accès à une plage d'adresses IP, à des ports et à des protocoles sur chaque groupe. Chaque fois que vous lancez une nouvelle instance EC2, vous devez spécifier à quel groupe de sécurité l'instance appartiendra.

Par défaut, aucun accès n'est autorisé sur les nouveaux groupes de sécurité. Au minimum, vous devez autoriser l'accès au Bureau à distance et l'accès HTTP à se connecter à votre instance EC2 et tester votre serveur. Pour en savoir plus, reportez-vous à la rubrique Ouvrir un groupe de sécurité Amazon EC2 pour ArcGIS. Reportez-vous à la rubrique Configurations courantes des groupes de sécurité pour connaître les paramètres des groupes de sécurité adaptés pour ArcGIS Enterprise on Amazon Web Services.

Lorsque vous utilisez ArcGIS Server Cloud Builder on Amazon Web Services pour créer un site ArcGIS Server ou un modèle AWS CloudFormation fourni par Esri, un groupe de sécurité est créé et configuré pour vous. Les ports nécessaires sont ouverts sur le groupe de sécurité pour permettre au site de fonctionner, mais si cela est nécessaire, vous pouvez utiliser la console de gestion AWS pour affiner les paramètres de ce groupe de sécurité. Par exemple, si vous souhaitez vous connecter à l'une des instances avec Bureau à distance Windows, vous devez ouvrir le port 3389.

Le Centre de sécurité d'Amazon contient des livres blancs et des documents de pratiques conseillées sur la conception d'une architecture sécurisée pour EC2. Ces directives sont applicables à ArcGIS Enterprise on Amazon Web Services.